|
Bajo el epígrafe de TROYA este año contamos con una dura prueba para los antivirus, compuesta por los 150 troyanos y backdoors (puertas traseras) más extendidos, entre los que se incluyen aquellos especímenes de más reciente creación, lo que sin duda pone a prueba el estado de actualización y el soporte que las distintas
casas antivirus dan a esta especialidad.
La joya de la corona dentro de este apartado son sin duda los backdoors para Internet. Desde el archiconocido Back Orifice, pasando por su homónimo NetBus o SubSeven, hasta llegar a más de 100 troyanos, algunos de ellos de última generación. Estos especímenes cuentan con un peligro añadido al de los virus, si bien la capacidad de expansión autónoma se encuentra reducida, una vez que hemos sido infectados van a abrir una puerta en nuestro ordenador a través de la cual terceros podrán manejar nuestra máquina a su antojo, coger nuestras claves de acceso, tener acceso a nuestros datos más sensibles, borrar información o, incluso, aprovechar para introducirnos nuevos virus.
En Hispasec hemos realizado un seguimiento especial a este tipo de malware, que día a día supone una mayor amenaza para la comunidad de usuarios de Internet. Uno de los foros donde hay más peligro potencial lo componen los sistemas de charla en línea (chats), como el IRC. No olvidemos que la finalidad del backdoor consiste en que un tercer usuario pueda interactuar con nuestra máquina, para lograrlo en primer lugar necesita hacernos llegar el cebo (el servidor del troyano) presentándolo como una utilidad benigna e interesante, y así engañar al usuario que al ejecutarlo se autoinfectará.
Resulta mucho más fácil este paso para el atacante cuando puede charlar con la víctima, utilizando técnicas de Ingeniería Social para convencerlo de la ejecución de la aplicación, además, para poder abrir la puerta e interactuar con el servidor del backdoor el atacante necesita conocer que la víctima está conectada y saber su dirección IP, dos interrogantes que se resuelven automáticamente al estar ambos conectados al mismo sistema de chat o IRC.
Como si fuera un campo más de la ciencia informática, los creadores de malware no cesan de investigar y sorprendernos con nuevas técnicas, en este sentido. Ya hace bastante tiempo que evitaron tener que estar conectados a un canal de charla para poder infectar o conocer si la víctima se encuentra conectada. Para ello, se aplican características de virus, para autoreplicarse, de gusano, para conseguir una rápida expansión, y con sistemas de notificación que hacen llegar al atacante a través de correo electrónico los avisos de cuando sus víctimas se encuentran en línea, incluyendo su dirección IP y un primer perfil en virtud de los datos vitales del sistema y los nombres de usuarios y contraseñas utilizadas en los principales servicios.
Para esta prueba hemos aplicado un mínimo del 50% por lo reducido de la serie, 150 muestras, y lo novedosas que resultan alguna de ellas, si bien hay que aclarar que todas, en mayor o menor medida, son utilizadas y están disponibles en foros públicos, por lo que cualquiera de ellas representa una amenaza real para el usuario.
Detección de troyanos
(150 muestras: mínimo de 50%) |
| Producto |
Porcentaje |
| Antidote |
94,84% |
| AVAST! |
09,84% |
| AVG |
12,59% |
| AVP |
94,84% |
| AVX 2000 |
73,22% |
| COMMAND |
78,74% |
| Dr.WEB |
36,22% |
| Esafe |
25,19% |
| F-Prot |
85,82% |
| F-Secure |
96,85% |
| Ikarus |
37,01% |
| InoculateIT
|
43,30% |
| MultiVac |
11,02% |
| Norman
Virus Control |
69,29% |
| NOD32 |
79,52% |
| Norton
Antivirus |
73,22% |
| Panda
Platinum |
74,80% |
| PC-Cillin |
92,91% |
| Protector
Plus |
42,51% |
| Quick-Heal
|
18,11% |
| RAV |
17,32% |
| Sophos |
62,99% |
| VirusNet |
62,99% |
| VirusScan |
76,37% |
|
